Тим Bass
10-05-2008 03:41 AM
Прок�и тайников, в �очетании � плохо напи�ана �е��ии управлени� кодом, легко приводит к �ерьезным безопа�но�ти недо�татки аналогично тому, как мы подчеркнули в �ова� брешь в безопа�но�ти в Документах Google вы�вил.

Веб-разработчики имеют никакого контрол� над прок�и к�ширует в Интернете. Тем не менее, разработчики имеют контроль над кодом они пишут, и их админи�тратора группы контрол� конфигурации �воих веб-�ерверах. Разработчики должны вз�ть на �еб� наихудший �ценарий Интернет � агре��ивными Интернет к�ша политики управлени�, которые �лужат к�шированных данных по �кономиче�кой и производительно�тью.

Как �лед�твие, �тот факт их жизни в Интернете иногда приводит к не�кольким веб-клиентов направл�ют�� же Set-Cookie HTTP заголовка, например .* к�шировани� прок�и-�ерверов должны получить новый маркер дл� каждого нового клиента. В идеале, прок�и к�ширует не должны к�ш �е��ии управлени� печенье и ра�предел�ть к�шированные печенье к не�кольким клиентам. Тем не менее, разработчики приложений не может предположить, что прок�и-�ервер к�ширует хорошо вел �еб�, о�обенно дл� приложений, где безопа�но�ть и неприко�новенно�ть ча�тной жизни не требует��.

Веб-разработчики могут не знать, �вл�ет�� ли их �одержание потребл�ет�� непо�ред�твенно или через прок�и-к�ша. Разработчики также не можем предположить, что HTTP ответов будут до�тавлены на запланированную браузера. Кроме того, разработчики не могут быть уверены в том, что в браузере даже получает в �одержании .* Так, например, идентификатор �еан�а выдает�� клиенту получает и�пользовали в то врем� как дей�твительные или пока не и�тек, и брошенных. Е�ли он �лужил, и вы�тупил в ответ на незашифрованное HTTP GET запро�, то нет гарантии будет потребл�емых предполагаема� веб-браузер.

В идеале, SSL должна быть и�пользована на в�ех веб-операций, требующих конфиденциально�ти и неприко�новенно�ти ча�тной жизни, в том чи�ле наших по�ледних Документов Google нарушени�.* С другой �тороны, даже SSL не пон�тный. �апример, многие веб-разработчики не правильно на�троить "Кодированные Се��ии Только" маркеры �об�твенно�ти. Это неправильно на�троено "защищенна�" �ерверов направит HTTPS печенье в открытом, незашифрованном виде.

Там будут драконы ...


Примечание: Reposted от (ISC) 2 блога. </ P>

И�точник ...